APT组织之APT29

Title：APT组织之APT29

0x00 简述

@Group: APT29

@别名: APT29, The Dukes, Cozy Bear, CozyDuke

0x01 描述

根据已知的媒体报道,APT29隶属于俄罗斯,早在2008年起开始运作,根据新闻报道,该组织在2015年夏天开始对俄罗斯民主全国委员会进行妥协.

0x02 常用技术

PowerShell - APT29将编码的PowerShell脚本执行CozyCar安装和下载SeaDuke.APT29还使用脚本来规避防御.

软件包装 - 主要使用UPX对二进制文件进行打包.

计划任务 - 使用命名和劫持计划任务来建立持久性.

注册表运行密钥/启动文件夹 - 添加了注册表运行密钥以建立持久性.

绕过用户帐户控制 - 绕过UAC.

Windows事件订阅 - 使用WMI事件筛选器来建立持久性.

Windows管理工具 - 使用WMI窃取管理凭据并在之后执行后门.

辅助功能 - 使用粘滞键获取未经身份验证的特权控制台访问.

域前端 - 使用Tor的meek插件来隐藏C2的通讯目标.

多跃点代理 - 使用后门创建Tor隐藏服务,以便将来自Tor客户端的通信转发到本地的3389,139,445端口,从而能够从网络外部进行远程控制访问.

0x02 文献来源

1.《The Dukes: 7 years of Russian cyberespionage》

https://www.f-secure.com/documents/996508/1030745/dukes_whitepaper.pdf

2.《GRIZZLY STEPPE - Russian Malicious Cyber Activity》

https://www.us-cert.gov/sites/default/files/publications/JAR_16-20296A_GRIZZLY%20STEPPE-2016-1229.pdf